Vulnerabilidad del Archivo LNK Shortcut Zero-Day de Windows Utilizada Para Instalar Rootkits en Unidades USB Infectadas

Un defecto recién descubierto en un archivo de atajo LNK de Windows se está utilizando para instalar un software que proporciona acceso a nivel de administrador o el control de una computadora sin ser detectado, también conocido como Rootkits.

El nuevo malware está explotando una falla en el diseño deste archivo de atajo (. LNK), en computadoras que ejecutan el Windows. Cuando un usuario de computadora hace clic en un doble sobre un icono de atajo afectado, la vulnerabilidad es disparada. Los iconos de atajo representan un espacio reservado para el archivo real o el programa en Windows. Ellos son muchas veces colocados en el menú de inicio y en el desktop de una PC que ejecuta el Windows, pero también pueden ser representados en los medios extraíbles, como una unidad USB.

Microsoft ya ha advertido a los usuarios, a través del Asesor de seguridad de Microsoft (2286198), que los hackers están explotando una vulnerabilidad sin parche dentro de los componentes de Windows Shell, en la que el Windows analizó los atajos incorrectamente. Desde la advertencia, Microsoft confirmó que los investigadores descubrieron que esta explotación es un problema con los archivos de atajo (. Lnk). La vulnerabilidad es apta para permitir que el código malicioso se ejecute, es más probable que es a través de unidades extraíbles. Cuando ejecutado, el malware incluye un troyano que puede poner en práctica el código de ataque que descarga un rootkit y, entonces, restos sin ser detectados durante la ejecución.

Varias versións de Windows son afectadas por la falla del atajo incluyendo el Windows 7 y ahora el Windows XP SP2, que no tiene soporte técnico (Service Pack 2 - A partir del 13 de julio 2010, Microsoft ya no ofrece actualizaciones de seguridad o soporte para el Windows XP SP2). Los investigadores han notado que el malware relacionados con la falla del atajo viene, principalmente, de una unidad USB infectada. Tradicionalmente, los malwares que se propagan a través de unidades USB se aprovechan de la función de ejecución automática de Windows, donde son ejecutados antes que el usuario tenga la oportunidad de interactuar, o el momento en que la unidad está fisicamente conectada a la computadora. Esta vez, los archivos de atajo maliciosos con la extensión .LNK serán abiertos por el usuario para esta vulnerabilidad se iniciar. Una empresa de seguridad, la VirusBlokAda, supuestamente encontró que los archivos de atajo maliciosos pueden ejecutarse de forma automática, cuando son escribidos en una unidad USB, que más tarde vas a ser visitada por el Windows Explorer.

El malware en cuestión es conocido para instalar dos unidades con los nombres de archivos 'mrxcls.sys' y 'mrxnet.sys', que son archivos de rootkit usados para ocultar el malware en una unidad USB infectada. Esto significa que el malware puede ser propagado de cualquier computadora que la unidad USB infectada se adjunta, sin ser expuesto o visible. El carácter extraño de los dos archivos, 'mrxcls.sys' y 'mrxnet.sys', es que ambos son archivos de unidades firmadas, con la firma digital de Realtek Semiconductor Corp, una empresa legítima de tecnología. Este descubrimiento fue traído a nuestra atención en el blog que pertenece a Krebsonsecurity.com. La correlación exacta de los dos aún no se ha determinado, pero tanto Microsoft como Realtek se han hecho conscientes de la situación y estarán investigando, si necesario.

Los atacantes pueden rapidamente se aprovechar de esta nueva vulnerabilidad en Windows para distribuir malware, especialmente a través de los sistemas que ejecutan el Windows XP SP2, ya que no será parcheado por Microsoft. Si está ejecutando el Windows XP SP 2, entonces es aconsejable que se actualize, por lo menos para la versión XP SP3.